论文摘要
IPSec是构建VPN(Virtual Private Network虚拟专用网)的常用技术,它可以较好地解决目前Internet上面临的各种安全威胁,有效地保证数据的安全传输。但在实际的应用中,IPSec技术与用于解决IPv4地址匮乏的NAT技术存在严重的不兼容性。因为IPSec协议在VPN中用于保护传输数据的完整性,传输过程中,任何对IP地址及传输标志位的修改,都被视作对该协议的违背,并导致数据包不能通过安全检查而被丢弃。但在VPN中运用NAT技术,则不可避免地要对私有地址映射为公有地址,即对IP地址要进行修改。这一不兼容性已经严重地限制了NAT和IPSec的应用范围,特别是对远程用户访问VPN服务器造成很大的不便。在网络安全应用领域,往往需要NAT网关和IPSec网关能够协同工作。为此,本人提出的基于X.509证书的UDP封装方案穿越NAT的技术,在IKE协商SA的过程中增加载荷以探测网关之间的VPN是否支持NAT穿越以及网关之间是否存在NAT;增加了对ESP报文进行UDP封装和解封装的处理;并对整个过程进行了详细地测试与分析;同时也分析了采用UDP封装穿越NAT方案中有待解决的问题。本文结合目前我院校园网络的实际需求,在不需要对现有NAT设备进行重新部署的前提下,提出了使用UDP数据封装穿越NAT的方法来完成VPN和NAT技术的融合。以NAT穿越方案的总体架构为基础,对数据封装格式进行改进和相关协议的功能进行扩充,可以形成一套完整的NAT穿越解决方案。
论文目录
摘要Abstract1 绪论1.1 课题背景1.2 国内外现状综述1.3 论文工作及主要贡献1.4 论文组织形式1.5 本章小结2 相关背景知识介绍2.1 NAT 简介2.1.1 NAT 的定义2.1.2 NAT 的特性2.1.3 NAT 的分类2.1.4 NAT 的应用现状2.1.5 NAT 技术的安全策略2.2 VPN 简介2.2.1 VPN 的概念2.2.2 VPN 的特点与优势2.2.3 VPN 的分类2.2.4 VPN 中的安全技术2.3 IPSEC 概述2.3.1 IPSec(Internet Protocol Security)协议2.3.2 IPSec 的特点2.3.3 IPSec 体系及关键技术2.4 本章小结3 基于X.509 证书的UDP 封装方案的模型研究3.1 IPSEC 和NAT 不兼容的原因3.1.1 概述3.1.2 固有的不兼容性3.1.3 NAT 实现弱点3.1.4 解决方案之间的不兼容性3.2 已有的几种解决方法3.2.1 RSIP 方法3.2.2 “6to4”方法3.2.3 专用NAT 方法3.2.4 UDP 封装方法3.2.5 已有的UDP 封装改进方案3.3 基于X.509 证书的UDP 封装方案3.3.1 基于X.509 证书的UDP 封装方案基本思想3.3.2 IKE 协商3.3.3 会话管理3.3.4 IPSec 处理3.4 本章小结4 穿越NAT 的VPN 的方案实现与研究4.1 测试目标4.2 测试环境建立4.3 测试方案与结果分析4.3.1 IKE SA 建立的测试与分析4.3.2 IPSec SA 建立的测试与分析4.3.3 Keep-alive 机制4.3.4 重叠SPD 条目测试4.3.5 加密隧道建立后传输数据的分析4.3.6 NAT 后多用户并发连接的测试与分析4.4 基于X.509 证书的UDP 封装穿越NAT 方案评价4.4.1 IPSec 和NAT 兼容性方案的评价4.4.2 支持NAT 穿越VPN 的安全性分析4.5 本章小结5 结语致谢参考文献附录
相关论文文献
标签:封装论文; 安全关联论文;
